89884
Apr 21, 2010, updated at Oct 18, 2012 (UTC)
12001
11
1
VPN Routing - 2 Netzwerke verbinden OpenVPN
Wir möchten unsere Netzwerke verbinden, damit Pakete ins andere geroutet werden können.
Moin,
ich möchte mein Netzwerk mit dem Netzwerk eines Freundes verbinden.
wir haben beide homeserver, die 24/7 laufen, mit Win server 2003 bzw. 2008 als os.
Das vpn steht bereits (über open vpn) und wir haben es mittlerweile schon so weit geschafft, dass ein beliebiger pc des einen netzwerks den server des anderen netzwerks pingen kann, und zwar über die gleiche ip, die dieser auch im normalen lan hätte (genau das ist nämlich der grund für dieses "spezielle" vpn, denn ein normales, in dem jeder pc client mit zusätzlicher anderer ip ist, hatten wir schon am laufen, wir brauchen aber ein vpn, das sich so verhält, als würden sich sie pcs unserer beiden netzwerke physisch im gleichen LAN befinden)
die vpn-verbindung wird zwischen unseren beiden servern hergestellt.
noch eine kleine erläuterung zu der genialen zeichnung:
im moment kann man z.b. von 1/2 nach 3 pingen und von 4/5 nach 0, jedoch nicht, wie benötigt, von 1/2 nach 4/5.
Bisher haben wir auf je dem anderen Server eine statische Route zum anderen Netzwerk eingetragen, und dabei
den Server als Gateway eingetragen, der vor dem Netzwerk steht.
Server 0 ist VPN-Server und arbeitet als LAN-WAN-Router.
Server 3 ist zwar wie ein normaler pc hinter ner fritzbox, doch auf dieser ist eine statische route 10.9.1.0/255.255.255.0 mit gateway auf Server 3 eingerichtet. Routing und Ras ist auch auf diesem gestartet.
danke schonmal im voraus für hoffentlich weiterhelfende antworten
ps: und ja, firewalls sind aus
ich möchte mein Netzwerk mit dem Netzwerk eines Freundes verbinden.
wir haben beide homeserver, die 24/7 laufen, mit Win server 2003 bzw. 2008 als os.
Das vpn steht bereits (über open vpn) und wir haben es mittlerweile schon so weit geschafft, dass ein beliebiger pc des einen netzwerks den server des anderen netzwerks pingen kann, und zwar über die gleiche ip, die dieser auch im normalen lan hätte (genau das ist nämlich der grund für dieses "spezielle" vpn, denn ein normales, in dem jeder pc client mit zusätzlicher anderer ip ist, hatten wir schon am laufen, wir brauchen aber ein vpn, das sich so verhält, als würden sich sie pcs unserer beiden netzwerke physisch im gleichen LAN befinden)
die vpn-verbindung wird zwischen unseren beiden servern hergestellt.
noch eine kleine erläuterung zu der genialen zeichnung:
im moment kann man z.b. von 1/2 nach 3 pingen und von 4/5 nach 0, jedoch nicht, wie benötigt, von 1/2 nach 4/5.
Bisher haben wir auf je dem anderen Server eine statische Route zum anderen Netzwerk eingetragen, und dabei
den Server als Gateway eingetragen, der vor dem Netzwerk steht.
Server 0 ist VPN-Server und arbeitet als LAN-WAN-Router.
Server 3 ist zwar wie ein normaler pc hinter ner fritzbox, doch auf dieser ist eine statische route 10.9.1.0/255.255.255.0 mit gateway auf Server 3 eingerichtet. Routing und Ras ist auch auf diesem gestartet.
danke schonmal im voraus für hoffentlich weiterhelfende antworten
ps: und ja, firewalls sind aus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 141150
Url: https://administrator.de/contentid/141150
Printed on: April 19, 2024 at 23:04 o'clock
11 Comments
Latest comment
ich würde ja eher eine zweite Fritzbox besorgen und die beiden Boxen miteinander verbinden.
Gruß, Arch Stanton
Gruß, Arch Stanton
Theoretisch möglich aber wir würden es gerne manuell umsetzen.
Außerdem geht es mir dabei eher ums Prinzip, wie so etwas in größerem Stil umzusetzen ist.
Außerdem geht es mir dabei eher ums Prinzip, wie so etwas in größerem Stil umzusetzen ist.
Hallo,
erstmal: künstlerisch sehr wertvolle Zeichnung
Das Problem ist, dass das IP-Forwarding an den Servern wohl nicht an ist. Unter Linux geht das recht einfach:
echo 1 > /proc/sys/net/ipv4/ip_forward
Unter Windows sieht es schlecht aus... Vom OS schreibst Du aber auch einfach nichts.
Phil
erstmal: künstlerisch sehr wertvolle Zeichnung
Das Problem ist, dass das IP-Forwarding an den Servern wohl nicht an ist. Unter Linux geht das recht einfach:
echo 1 > /proc/sys/net/ipv4/ip_forward
Unter Windows sieht es schlecht aus... Vom OS schreibst Du aber auch einfach nichts.
Phil
Zitat von @Der-Phil:
Unter Windows sieht es schlecht aus... Vom OS schreibst Du aber auch einfach nichts.
Unter Windows sieht es schlecht aus... Vom OS schreibst Du aber auch einfach nichts.
Wie jetz? Gibt es da keine Möglichkeit? (ganz oben steht, dass die OSs Server 2003 & 2008 sind)
Ich dachte IP-Routing beinhaltet genau das IP-Forwarding.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\IPEnableRouter
Ist dieser Wert der Entscheidende oder egal, wenn RRAS aktiviert ist?
Ist dieser Wert der Entscheidende oder egal, wenn RRAS aktiviert ist?
Was mich stutzig macht, ist, dass alle PCs vom einen Netzwerk problemlos bis zum Server des anderen Netzwerks vordringen können, jedoch nicht weiter.
Gibt es irgendwie die Möglichkeit einer "Forward-Route" ?
Durch diese soll der Server Pakete in sein Netzwerk weiterrouten. Was er ja bis jetzt nicht tut.
Gibt es irgendwie die Möglichkeit einer "Forward-Route" ?
Durch diese soll der Server Pakete in sein Netzwerk weiterrouten. Was er ja bis jetzt nicht tut.
Zitat von @89884:
Theoretisch möglich aber wir würden es gerne manuell umsetzen.
Außerdem geht es mir dabei eher ums Prinzip, wie so etwas in größerem Stil umzusetzen ist.
Theoretisch möglich aber wir würden es gerne manuell umsetzen.
Außerdem geht es mir dabei eher ums Prinzip, wie so etwas in größerem Stil umzusetzen ist.
Also im großen Stil würd ich zwei VPN Router miteinander Verbinden. Kommt dann auf selbe wie das mit den 2 Fritzboxen raus.
Dafür fehlen mir die finanziellen Mittel, deshalb die Softwarelösung mit den vorhandenen Gerätschaften.
Das ist klar das es nicht geht, denn die jeweils gegenüberliegenden Netze erreichen die Clients 1/2 und 4/5 nur über die Server die auch die VPN Verbindung halten.
Dort wird aber mit an sicherheit grenzender Wahrscheinlichkeit ein lokaler DSL Router als Gateway IP eingestellt sein. Deshalb gehen dann Anfragen für das jeweils remote 10er Natzdrüber ins Nirwana !!
Du musst also dem jeweiligen Router sagen das er das gegenüberliegende Netz über den Server erreicht als next Hop Gateway. Hier muss also eine statische Route rein.
Es kann aber auch schlicht und einfach sein das du die lokalen Firewalls dieser Rechner nicht angepasst hast. Normalerweise blocken die Clients 1/2 und 4/5 alles was nicht aus ihrem lokalen Netz kommt und somit auch die Ping Versuche von der remoten Seite.
Hier musst du also die Firewall editieren und den Bereich erweitern auf das remote Netz oder die Schrotschusslösung "Alle Computer inkl. Internet" anklicken.
Ferner solltest du prüfen ob die ICMP in der Firewall erlaubt hast (Haken bei "Auch Echo Anforderungen antworten" setzen in der FW) !
Grundlagen zu solchen Routing Scenarios findest du hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Bzw. bei VPNs hier:
VPNs einrichten mit PPTP
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Dort wird aber mit an sicherheit grenzender Wahrscheinlichkeit ein lokaler DSL Router als Gateway IP eingestellt sein. Deshalb gehen dann Anfragen für das jeweils remote 10er Natzdrüber ins Nirwana !!
Du musst also dem jeweiligen Router sagen das er das gegenüberliegende Netz über den Server erreicht als next Hop Gateway. Hier muss also eine statische Route rein.
Es kann aber auch schlicht und einfach sein das du die lokalen Firewalls dieser Rechner nicht angepasst hast. Normalerweise blocken die Clients 1/2 und 4/5 alles was nicht aus ihrem lokalen Netz kommt und somit auch die Ping Versuche von der remoten Seite.
Hier musst du also die Firewall editieren und den Bereich erweitern auf das remote Netz oder die Schrotschusslösung "Alle Computer inkl. Internet" anklicken.
Ferner solltest du prüfen ob die ICMP in der Firewall erlaubt hast (Haken bei "Auch Echo Anforderungen antworten" setzen in der FW) !
Grundlagen zu solchen Routing Scenarios findest du hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Bzw. bei VPNs hier:
VPNs einrichten mit PPTP
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Danke für deine Antwort!
Server 0 hat 2 reale Lan-Karten: eine fürs Lan und eine direkt an ein Kabelmodem (-> kein PPPoE).
Auf ihm ist eine statische route eingerichtet: route add 10.9.2.0 mask 255.255.255.0 10.9.0.3
Durch diese sollten doch Pakete an 10.9.2.0 übers VPN (10.9.0.0/255.255.255.0) laufen, oder?
Server 3 hat nur eine LAN-Karte, fürs LAN. Er hat als Gateway eine FritzBox, auf der wiederum eine Route zum Server 3 eingerichtet ist, damit Pakete auch dort durchs VPN laufen. Diese lautet 10.9.1.0 mask 255.255.255.0 10.9.2.3(Server 3 !VPN IP). Auf dem Server 3 selbst dann folgende Route:
10.9.1.0 mask 255.255.255.0 10.9.0.1(Server 0 VPN-IP)
Duch rumprobieren klappt es jetzt auch schon von 3/4/5 nach 0/1/2 zu kommen !!
Doch nicht von 0/1/2 nach 4/5. Nur nach 3.
Stimmt das jetzt so bzw. was mache ich falsch?
Server 0 hat 2 reale Lan-Karten: eine fürs Lan und eine direkt an ein Kabelmodem (-> kein PPPoE).
Auf ihm ist eine statische route eingerichtet: route add 10.9.2.0 mask 255.255.255.0 10.9.0.3
Durch diese sollten doch Pakete an 10.9.2.0 übers VPN (10.9.0.0/255.255.255.0) laufen, oder?
Server 3 hat nur eine LAN-Karte, fürs LAN. Er hat als Gateway eine FritzBox, auf der wiederum eine Route zum Server 3 eingerichtet ist, damit Pakete auch dort durchs VPN laufen. Diese lautet 10.9.1.0 mask 255.255.255.0 10.9.2.3(Server 3 !VPN IP). Auf dem Server 3 selbst dann folgende Route:
10.9.1.0 mask 255.255.255.0 10.9.0.1(Server 0 VPN-IP)
Duch rumprobieren klappt es jetzt auch schon von 3/4/5 nach 0/1/2 zu kommen !!
Doch nicht von 0/1/2 nach 4/5. Nur nach 3.
Stimmt das jetzt so bzw. was mache ich falsch?
Nein, soweit ist vom Routing her alles OK. Hast du mal mit traceroute oder pathping gecheckt wie weit die Pakete laufen ?? Wo werden sie geblockt.
Testhalber könntest du auf 4 (oder5) einmal eine direkte Route ala:
route add 10.9.1.0 mask 255.255.255.0 10.9.2.3
eingeben, dann schliesst man die FB vom Routing aus (falls die das Problem ist) .
Du müsstest generell einmal mit einem Sniffer (Wireshark) auf 4 und 5 checken ob Pakete aus dem 10.9.1.0er netz überhaupt ankommen von den Clients 1 und 2.
Nochwas:
Gibst du mit push "route 10.9.1.0 255.255.255.0" bzw. push "route 10.9.2.0 255.255.255.0" in den OpenVPN Servern jeweils die lokalen Netze weiter ??
Was sagte denn ein route print überhaupt auf den Servern ?? Sind dort die jeweiligen lokalen Zielnetze überhaupt bekannt ??
Testhalber könntest du auf 4 (oder5) einmal eine direkte Route ala:
route add 10.9.1.0 mask 255.255.255.0 10.9.2.3
eingeben, dann schliesst man die FB vom Routing aus (falls die das Problem ist) .
Du müsstest generell einmal mit einem Sniffer (Wireshark) auf 4 und 5 checken ob Pakete aus dem 10.9.1.0er netz überhaupt ankommen von den Clients 1 und 2.
Nochwas:
Gibst du mit push "route 10.9.1.0 255.255.255.0" bzw. push "route 10.9.2.0 255.255.255.0" in den OpenVPN Servern jeweils die lokalen Netze weiter ??
Was sagte denn ein route print überhaupt auf den Servern ?? Sind dort die jeweiligen lokalen Zielnetze überhaupt bekannt ??
